AWS Directory Service API 권한: 작업, 리소스 및 조건 참조

PDFRSS

액세스 제어를 설정하고 IAM ID에 연결할 수 있는 사용 권한 정책(ID 기반 정책)을 작성할 때 이 AWS Directory Service API 권한: 작업, 리소스 및 조건 참조 표를 참조로 사용할 수 있습니다. 표의 각 API 항목에는 다음이 포함됩니다.

• API 작업의 이름.

• 각 API 작업의 해당 작업 또는 작업 수행 권한을 부여할 수 있는 작업

• 권한을 부여할 수 있는 AWS 리소스

정책의 Action 필드에서 작업을 지정하고 정책의 Resource 필드에서 리소스 값을 지정합니다. 작업을 지정하려면 ds: 접두사 다음에 API 작업 명칭을 사용합니다(예: ds:CreateDirectory). 일부 AWS 애플리케이션에서는 정책ds:UnauthorizeApplication에서 ds:AuthorizeApplication, , ds:CheckAlias, ds:CreateIdentityPoolDirectory, ds:UpdateAuthorizedApplication, 등의 비공개 AWS Directory Service API 작업을 사용해야 ds:GetAuthorizedApplicationDetails할 수 있습니다.

일부 AWS Directory Service APIs를 통해서만 호출할 수 있습니다 AWS Management Console. 프로그래밍 방식으로 호출할 수 없다는 점에서 퍼블릭 API가 아니며 SDK에서 제공하지 않습니다. 사용자 자격 증명을 수락합니다. 이러한 API 작업에는 ds:DisableRoleAccess, ds:EnableRoleAccess 및 ds:UpdateDirectory가 포함됩니다.

AWS Directory Service 및 디렉터리 서비스 데이터 정책에서 AWS 전역 조건 키를 사용하여 조건을 표현할 수 있습니다. AWS 키의 전체 목록은 IAM 사용 설명서의 사용 가능한 전역 조건 키를 참조하세요.

AWS Directory Service API 및 작업에 필요한 권한

AWS Directory Service API 작업	필요한 권한(API 작업)	리소스
AcceptSharedDirectory	ds:AcceptSharedDirectory	*
AddIpRoutes	ds:AddIpRoutes ec2:DescribeSecurityGroup ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress	*
AddTagsToResource	ds:AddTagsToResource ec2:CreateTags	*
CancelSchemaExtension	ds:CancelSchemaExtension	*
ConnectDirectory	ds:ConnectDirectory ec2:DescribeSubnets ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress ec2:CreateTags	*
CreateAlias	ds:CreateAlias	*
CreateComputer	ds:CreateComputer	*
CreateConditionalForwarder	ds:CreateConditionalForwarder	*
CreateDirectory	ds:CreateDirectory ec2:DescribeSubnets ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress ec2:CreateTags	*
CreateLogSubscription	ds:CreateLogSubscription	*
CreateMicrosoftAD	ds:CreateMicrosoftAD ec2:DescribeSubnets ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress ec2:RevokeSecurityGroupEgress ec2:CreateTags	*
CreateSnapshot	ds:CreateSnapshot	*
CreateTrust	ds:CreateTrust	*
DeleteConditionalForwarder	ds:DeleteConditionalForwarder	*
DeleteDirectory	ds:DeleteDirectory ec2:DescribeNetworkInterfaces ec2:DeleteSecurityGroup ec2:DeleteNetworkInterface ec2:RevokeSecurityGroupIngress ec2:RevokeSecurityGroupEgress ec2:DeleteTags	*
DeleteLogSubscription	ds:DeleteLogSubscription	*
DeleteSnapshot	ds:DeleteSnapshot	*
DeleteTrust	ds:DeleteTrust	*
DeregisterEventTopic	ds:DeregisterEventTopic	*
DescribeConditionalForwarders	ds:DescribeConditionalForwarders	*
DescribeDirectories	ds:DescribeDirectories	*
DescribeDomainControllers	ds:DescribeDomainControllers	*
DescribeEventTopics	ds:DescribeEventTopics	*
DescribeSharedDirectories	ds:DescribeSharedDirectories	*
DescribeSnapshots	ds:DescribeSnapshots	*
DescribeTrusts	ds:DescribeTrusts	*
DisableRadius	ds:DisableRadius	*
DisableSso	ds:DisableSso	*
EnableRadius	ds:EnableRadius	*
EnableSso	ds:EnableSso	*
GetDirectoryLimits	ds:GetDirectoryLimits	*
GetSnapshotLimits	ds:GetSnapshotLimits	*
ListIpRoutes	ds:ListIpRoutes	*
ListLogSubscriptions	ds:ListLogSubscriptions	*
ListSchemaExtensions	ds:ListSchemaExtensions	*
ListTagsForResource	ds:ListTagsForResource	*
RegisterEventTopic	ds:RegisterEventTopic sns:GetTopicAttributes	*
RejectSharedDirectory	ds:RejectSharedDirectory	*
RemoveIpRoutes	ds:RemoveIpRoutes	*
RemoveTagsFromResource	ds:RemoveTagsFromResource ec2:DeleteTags	*
ResetUserPassword	ds:ResetUserPassword	*
RestoreFromSnapshot	ds:RestoreFromSnapshot	*
ShareDirectory	ds:ShareDirectory organizations:DescribeAccount organizations:DescribeOrganization organizations:ListAWSServiceAccessForOrganization	*
StartSchemaExtension	ds:StartSchemaExtension	*
UnshareDirectory	ds:UnshareDirectory	*
UpdateConditionalForwarder	ds:UpdateConditionalForwarder	*
UpdateNumberOfDomainControllers	ds:UpdateNumberOfDomainControllers ec2:DescribeSubnets ec2:DescribeVpcs ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:DeleteNetworkInterface	*
UpdateRadius	ds:UpdateRadius	*
UpdateTrust	ds:UpdateTrust	*
VerifyTrust	ds:VerifyTrust	*

AWS 디렉터리 서비스 데이터 API 및 작업에 필요한 권한

참고

작업을 지정하려면 ds-data: 접두사 다음에 API 작업의 명칭을 사용합니다(예: ds-data:AddGroupMember).

디렉터리 서비스 데이터 API 작업	필요한 권한(API 작업)	리소스
AddGroupMember	ds-data:AddGroupMember	*
CreateGroup	ds-data:CreateGroup	*
CreateUser	ds-data:CreateUser	*
DeleteGroup	ds-data:DeleteGroup	*
DeleteUser	ds-data:DeleteUser	*
DescribeGroup	ds-data:DescribeGroup	*
DescribeUser	ds-data:DescribeUser	*
DisableUser	ds-data:DisableUser	*
ListGroupMembers	ds-data:ListGroupMembers	*
ListGroupsForMember	ds-data:ListGroupsForMember	*
ListUsers	ds-data:ListUsers	*
RemoveGroupMember	ds-data:RemoveGroupMember	*
SearchGroups	ds-data:DescribeGroup ds-data:SearchGroups	*
SearchUsers	ds-data:DescribeUser ds-data:SearchUsers	*
UpdateGroup	ds-data:UpdateGroup	*
UpdateUser	ds-data:UpdateUser	*

관련 항목

• 액세스 제어